forum Abc de la sécurité informatique

sandrine · 24-04-2006 11:32:57

bonjour à tous!
voila mon problème est que j'aimerai que les utilisateurs de l'entreprise arrete d'utiliser la radio. Je pense pouvoir faire quelques chose avec le firewall... mais quel protocole utilise la radio ? quel port?
J'utilise Firewall builder.

merci de votre aide

Dernière modification par habana (09-05-2006 02:39:46)

habana · 25-04-2006 00:57:09

Salut,

il existe divers moyen d'accéder à des chaînes de radio en ligne.
Pour commencer, analyse le trafic sur le firewall et vois quels ports source sont utilisés (Ethereal, tcpdump, ...) puis établis une règle spécifique sur Firewall builder pour rejeter les paquets ayant pour source le port utilisé par le service de radio en ligne.

Les règles ne seraient pas un peu trop permissives ? En général, on bloque tout par défaut pour ensuite ouvrir les services nécessaires selon les besoins de utilisateurs et leurs droits. Je crois même me souvenir que sur Firewall builder, l'assistant propose par défaut le minimum d'accès.

sandrine · 26-04-2006 17:34:55

merci encore pour ton aide!!
tu aurais pas une adresse msn ?

bisous

JokuHech · 26-04-2006 21:48:14

tu aurais pas une adresse msn ?roll

Heuuu oui il en a une (moi je l'ai) mais il a (aussi) une compagne... Donc attention où tu mets les pieds...

celà dit, il est pas trop mauvais le Hab...

habana · 26-04-2006 22:58:37

sandrine a écrit:
tu aurais pas une adresse msn ?

Si, mais je suis très cher en support via msn (et ça me file des boutons ).
Fais une copie d'écran de tes règles pour Firewall builder, en anonymisant l'image obtenue avant de la poster ici. On dirait qu'il y a un peu trop d'ouverture

Une autre solution plus radicale consiste à faire un proxy transparent (avec squid par exemple), empêchant l'usage de tout autre protocole que ceux du web. Ou encore, bloquer tout ce qui n'est pas explicitement autorisé (ce qui n'a pas l'air d'être le cas de ta configuration.

Pourquoi le choix de Firewall builder ?

sandrineGMD · 27-04-2006 09:18:45

Bonjour à tous!

si je demandais une adresse msn c pour de l'aide et sympathiser! j'ai un copain moi aussi !!! et pas touche!!

J'ai choisi fwbuilder parce qu'il est gratuit et facile à utiliser. De plus il est basé sur IPTABLE! ce qui est bien non ?

Mon chef me demande si ca vaut vraiment le coup de mettre ce poste que je suis entrain de monter à la place d'un firewall box de chez Netasq...

On en a un qui a lacher c'est pour ca ...

Il me demande la perenité du produit !

Sinon mais regles sont peut etre deja suiffisante, mais je voulais etre sur de pouvoir bloquer la radio et Emule et tout site de Peer to peer!

Merci de votre aide !

bonne journée

Sandrine, alias DOUNETTE

habana · 28-04-2006 01:30:14

Je crois que c'est la règle 4 dans ta politique qu'il faudrait remplacer par un "deny all" et une ouverture plus fine des ports.
En l'état, tous les services distants sont autorisés. Si tu veux verrouiller leurs accès, c'est par là qu'il faut taper.

Tu peux toujours bloquer sur certaines plages de ports mais ce sera facilement contournable.
Après configuration des règles et une fois appliquées, vous faites des tests sur les postes pour vérifier leur efficacité ?

sandrineGMD a écrit:
J'ai choisi fwbuilder parce qu'il est gratuit et facile à utiliser. De plus il est basé sur IPTABLE! ce qui est bien non ?

C'est surtout Netfilter qui fait le boulot, Iptables ne servant qu'à lister / ajouter /enlever les règles.

sandrineGMD a écrit:
Mon chef me demande si ca vaut vraiment le coup de mettre ce poste que je suis entrain de monter à la place d'un firewall box de chez Netasq...
On en a un qui a lacher c'est pour ca ...
Il me demande la perenité du produit !

Pour la pérennité, tu peux le rassurer. Ce sont des logiciels libres suivis depuis plusieurs années. Netfilter / Iptables sont fournis par défaut sur toutes les distributions Linux. Ils sont déjà largement utilisées en entreprise et n'ont rien à envier à nombre d'appliances de sécurité du marché. Vois d'aillleurs quels sont les utilisateurs de Ipcop, Smoothwall, m0n0wall, ...

sandrineGMD · 28-04-2006 15:09:05

Je comprend pas bien ce que tu veux dire par le deny all de ma regle 4 sur la politique! tu crois que je devrai leur laisser acces qu'en http partout?
je vais tester surement cette aprem et la semaine prochaine...
je suis meme pas sur qu'il soit mis sur le reseau ca craint ! (je suis que stagiaire!)
merci pour les infos sur la pérénité !!!

sinon tu penses que mes regles sont juste ? meme pour le NAT ?

JokuHech · 28-04-2006 16:34:29

je suis meme pas sur qu'il soit mis sur le reseau ca craint ! (je suis que stagiaire!)

Là c'est très simple. Ce soir, après que tout le monde se sera mis en week-end, tu éteinds ce poste. Puis tu vas sur une des stations de travail de ton réseau (tu auras pris la précaution de demander à ce qu'elle ne soit pas arrêtée) et tu chercheras à aller sur Internet. Si tu n'y arrives pas, c'est que ta passerelle fonctionne, sinon, devines...

tu crois que je devrai leur laisser acces qu'en http partout?

À toi ou ton supérieur de définir la politique qui convient. Je serais décideur, je mettrais en plus un proxy. Ceci a l'avantage de mettre une protection supplémentaire dans le réseau local. En clair, tous les postes qui veulent aller sur Internet n'iront en fait que jusqu'au proxy. Ce sera lui et lui seul qui pourra accéder à Internet, stocker les pages demandées, puis redistribuer ces pages au poste qui est demandeur. Ceci te permettra aussi d'accepter ou non les diffusions en streaming (vidéo ou audio)... Ainsi, ta question n'aura plus lieu d'être. Tu contrôles ce qui sort, mais aussi ce qui entre.